Zitat:

ProxyServer: bundeskampf.com:80

Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Zitat:

Zitat von schrauber

So ging es mir auch gerade eben

Ich habe eben bei Combofix einen Fehler gemacht: Ich hab vergessen, Norton AntiSpyware zu deaktivieren. Ich dachte man würde mit Rechtsklick auf das Statussymbol und 'Anti-Virus-Autoprotect deaktivieren' sowie 'Firewall deaktivieren' alle Schutzmechanismen deaktivieren, aber AntiSpyware blieb trotzdem aktiv. Als Combofix diesen Fehler anzeigte (bevor der Scan begann) wollte ich es nochmal abbrechen und neustarten, nachdem ich das komplette Norton deaktiviert habe. Allerdings hatte 'schließen' die gleiche Wirkung wie 'OK', wie ich dann leider erfahren musste -.-
Ein weiteres Problem (was ich erst nicht bemerkt habe) war, dass das System nach 3 Minuten automatisch den Bildschirm abschaltet.

Soll ich den Scan deshalb nochmal wiederholen?


Hier ist jedenfalls der Log:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 14-02-20.01 - Maximilian 21.02.2014  20:55:49.1.4 - x86
Microsoft® Windows Vista™ Home Premium   6.0.6002.2.1252.49.1031.18.3070.1922 [GMT 1:00]
ausgeführt von:: c:\users\Maximilian\Desktop\ComboFix.exe
AV: Norton Internet Security *Disabled/Updated* {63DF5164-9100-186D-2187-8DC619EFD8BF}
FW: Norton Internet Security *Disabled* {5BE4D041-DB6F-1935-0AD8-24F3E73C9FC4}
SP: Norton Internet Security *Enabled/Updated* {D8BEB080-B73A-17E3-1B37-B6B462689202}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\Public\brcpy64.exe
c:\users\Public\brdefprn.exe
c:\users\Public\BRINSDRV.EXE
c:\users\Public\BRINSDRV64.EXE
c:\users\Public\BRSLFEXE.DAT
c:\users\Public\printer64.exe
c:\users\Public\PSDLL.DLL
c:\users\Public\Ptins95.dll
c:\users\Public\PtinsNT.dll
c:\users\Public\PTRCGER.DLL
c:\users\Public\sdelevURL.tmp
c:\users\Public\System
c:\users\Public\System\BRGSRC16.DLL
c:\users\Public\System\BRGSRC32.DLL
c:\users\Public\System\brmfpp1.dll
c:\users\Public\System\BRMFPP1A.DLL
c:\users\Public\System\BROSNMP.DLL
c:\users\Public\System\BRPAR.SYS
c:\users\Public\System\brpar64a.sys
c:\users\Public\System\brpp2ka.dll
c:\users\Public\System\brpp64a.dll
c:\users\Public\System\BRPPROC.DLL
c:\users\Public\System\brrbtool.exe
c:\users\Public\System\BRSS01A.EXE
c:\users\Public\System\BRSVC01A.EXE
c:\users\Public\System\BRVPD95A.DLL
c:\users\Public\System\BRVPDNTA.DLL
c:\users\Public\UNINST.EXE
c:\windows\IsUn0407.exe
c:\windows\system32\System32\MASetupCleaner.exe
c:\windows\system32\System32\muzapp.exe
.
.
(((((((((((((((((((((((   Dateien erstellt von 2014-01-21 bis 2014-02-21  ))))))))))))))))))))))))))))))
.
.
2014-02-21 20:05 . 2014-02-21 20:05	--------	d-----w-	c:\users\oem\AppData\Local\temp
2014-02-21 20:05 . 2014-02-21 20:06	--------	d-----w-	c:\users\Maximilian\AppData\Local\temp
2014-02-21 20:05 . 2014-02-21 20:05	--------	d-----w-	c:\users\Valentin\AppData\Local\temp
2014-02-21 20:05 . 2014-02-21 20:05	--------	d-----w-	c:\users\UpdatusUser\AppData\Local\temp
2014-02-21 20:05 . 2014-02-21 20:05	--------	d-----w-	c:\users\Ulli\AppData\Local\temp
2014-02-21 20:05 . 2014-02-21 20:05	--------	d-----w-	c:\users\Default\AppData\Local\temp
2014-02-21 14:52 . 2014-02-21 14:59	--------	d-----w-	C:\FRST
2014-02-12 12:38 . 2013-12-05 02:12	1248768	----a-w-	c:\windows\system32\msxml3.dll
2014-02-09 10:42 . 2014-02-09 10:42	--------	d-----w-	c:\users\Valentin\AppData\Local\WarThunder
2014-02-09 10:42 . 2014-02-09 10:42	--------	d-----w-	c:\programdata\WarThunder
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-18 202240]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-18 125952]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2010-07-28 9398888]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]
@="Service"
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^WISO Mein Steuer-Sparbuch heute.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\WISO Mein Steuer-Sparbuch heute.lnk
backup=c:\windows\pss\WISO Mein Steuer-Sparbuch heute.lnk.CommonStartup
backupExtension=.CommonStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Akamai NetSession Interface]
2013-06-04 23:01	4489472	----a-w-	c:\users\oem\AppData\Local\Akamai\netsession_win.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BrStsMon00]
2012-06-06 13:31	3076096	------w-	c:\program files\Browny02\Brother\BrStMonW.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ControlCenter4]
2012-09-06 19:06	143360	------w-	c:\program files\ControlCenter4\BrCcBoot.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Defender]
2008-01-18 22:38	1008184	----a-w-	c:\program files\Windows Defender\MSASCui.exe
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ehTray.exe"=c:\windows\ehome\ehTray.exe
"WMPNSCFG"=c:\program files\Windows Media Player\WMPNSCFG.exe
"Steam"="d:\program files\Steam\Steam.exe" -silent
"Sidebar"=c:\program files\Windows Sidebar\sidebar.exe /autoRun
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NetFxUpdate_v1.1.4322"="c:\windows\Microsoft.NET\Framework\v1.1.4322\netfxupdate.exe" 1 v1.1.4322 GAC + NI NID
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe"
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 10.0\Reader\Reader_sl.exe"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-3500999161-1433461041-2774453423-1000]
"EnableNotificationsRef"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation	REG_MULTI_SZ   	FontCache
Akamai	REG_MULTI_SZ   	Akamai
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyServer = bundeskampf.com:80
uInternet Settings,ProxyOverride = <local>
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Free YouTube Download - c:\users\Maximilian\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubedownload.htm
IE: Free YouTube to Mp3 Converter - c:\users\Maximilian\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.1.1 192.168.1.1
FF - ProfilePath - c:\users\Maximilian\AppData\Roaming\Mozilla\Firefox\Profiles\ybif58k3.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
SafeBoot-WudfPf
SafeBoot-WudfRd
MSConfigStartUp-IndexSearch - c:\program files\Nuance\PaperPort\IndexSearch.exe
MSConfigStartUp-ISUSPM - c:\programdata\FLEXnet\Connect\11\ISUSPM.exe
MSConfigStartUp-KiesPDLR - c:\program files\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe
MSConfigStartUp-KiesTrayAgent - c:\program files\Samsung\Kies\KiesTrayAgent.exe
MSConfigStartUp-LogMeIn Hamachi Ui - d:\program files\LogMeIn Hamachi\hamachi-2-ui.exe
MSConfigStartUp-PaperPort PTD - c:\program files\Nuance\PaperPort\pptd40nt.exe
MSConfigStartUp-PDF5 Registry Controller - c:\program files\Nuance\PDF Viewer Plus\RegistryController.exe
MSConfigStartUp-PDFHook - c:\program files\Nuance\PDF Viewer Plus\pdfpro5hook.exe
MSConfigStartUp-PPort12reminder - c:\program files\Nuance\PaperPort\Ereg\Ereg.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2014-02-21 21:06
Windows 6.0.6002 Service Pack 2 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NIS]
"ImagePath"="\"c:\program files\Norton Internet Security\Engine\20.4.0.40\ccSvcHst.exe\" /s \"NIS\" /m \"c:\program files\Norton Internet Security\Engine\20.4.0.40\diMaster.dll\" /prefetch:1"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Akamai]
"ServiceDll"="c:\program files\common files\akamai/netsession_win_8fa3539.dll"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-3500999161-1433461041-2774453423-1001\Software\SecuROM\License information*]
"datasecu"=hex:21,71,c0,b0,cf,8c,cc,39,a6,5e,52,3e,00,08,50,1c,20,4e,bd,1f,01,
   60,8c,03,5e,d8,be,5e,2f,37,9c,41,66,eb,d3,11,02,df,e9,89,3b,54,d7,7e,de,bd,\
"rkeysecu"=hex:ee,7f,33,12,f6,75,67,74,13,91,fa,44,40,72,5e,43
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Zeit der Fertigstellung: 2014-02-21  21:08:48
ComboFix-quarantined-files.txt  2014-02-21 20:08
.
Vor Suchlauf: 11 Verzeichnis(se), 374.487.719.936 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 375.854.829.568 Bytes frei
.
- - End Of File - - 7BE53E39953B0BD4870BA60B7CAFDD07
5C616939100B85E558DA92B899A0FC36
         

Sorry für den blöden Fehler, aber nächstes Mal weiß ich es ja besser...

Edit:
Ich hab den PC neugestartet, das lief ohne Probleme.
Außerdem hab ich mir den Verlauf von Norton angesehen, und festgestellt, das es viele Zugriffe auf Prozessdaten blockiert hat.

Ich muss das Tool also nochmal durchlaufen lassen, oder?